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PROCEDE DE CREATION ET GESTION D'AU MOINS UNE CLE 
CRYPTOGRAPHIQUE ET SYSTEME POUR SA MISE EN CEUVRE. 
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La presente invention concerne le domaine des systemes 
informatiques securises et plus particulierement des des cryptographiques. 
Elle se rapporte a un precede de creation et de gestion d'au moins une cle 
cryptographique et du certificat associe dans le cas d'une paire de des 
cryptographiques asymetriques ainsi qu'a un systeme informatique pour sa 
mise en oeuvre. 

L'art anterieur 



^ La cryptographie permet de securiser et proteger Tacces aux 

1==^ documents electroniques par la mise en oeuvre de fonctions de chiffrement 

'r^ 15 et de signature. 



Le chiffrement est la transformation de donnees (texte en clair) dans 
une forme illisible (texte chiffre) pour une personne qui ne connait pas la 
methode de dechiffrement, grace a une fonction parametrable, appelee la 
20 de de chiffrement, Inversement, il est indispensable de disposer de la de de 
dechiffrement pour transformer un texte chiffre en un texte en clair. 

La signature est un moyen d'authentification permettant au 
destinataire de verifier la source et Tintegrite d'un message regu. Elle utilise 
25 egalement le principe de des evoque ci-dessus. 

Dans un environnement multi-usagers, le chiffrement et la signature 
augmentent la securite des communications sur des lignes non protegees, 
comme par exemple Internet. 
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On connaTt des systemes informatiques securises dans lesquels les 
cles de chiffrement sont creees de maniere individuelle par un 
administrateur. eventuellement sur initiation d'un utilisateur. Ainsi, lorsqu'un 
nouvel utilisateur souhaite integrer le systeme securise et disposer de cles, 
5 il requiert la creation d'une ou plusieurs cles aupres de radministrateur. A 
reception de la requete, I'administrateur conceit une cle pour Tutilisateur en 
question. 

II en resulte une complexite accrue lorsque le nombre d'utilisateurs 
10 augmente, et en consequence un delai d'attente important pour obtenir une 
cle de chiffrement Uutilisateur integrant un systeme securise est contraint 
d'attendre pour obtenir une cle et communiquer de maniere securisee dans 
ledit systeme. 

15 La presente invention concerne plus particulierement le domaine de 

la cryptographie a cles symetriques, ainsi que le domaine de la 
cryptographic a cles asymetriques. 

Une cle est symetrique lorsqu'elle est utilisee pour generer et 
20 dechiffrer du texte chiffre. 

Les cles asymetriques sont appelees cles publique/privee : la cle 
utilisee pour chiffrer information est differente de celle utilisee pour la 
dechiffrer. La cle publique est vehiculee dans un certificat. Le certificat est 
25 obtenu aupres d'une autorite de certification (CA. Certification Authority). 

La certification d'une cle publique par une autorite de certification 
exterieure au systeme securise concerne accroTt la complexite dans la 
gestion des utilisateurs et de leurs cles et certificats. De plus, le systeme 
30 securise communique tres souvent avec Tautorite de certification dans un 
mode non-connecte ce qui augmente le degre de complexite. 
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L'utilisateur n'a pas connaissance du degre d'avancement de la 
creation et de la certification de ses cles et notamment d'un eventuel 
blocage susceptible de survenir au cours de celles-ci. 

5 

Le certificat presente une periode de validite suite a laquelle il doit 
etre renouvele. L'utilisateur qui ne surveille pas le delai d'expiration de son 
certificat, peut se retrouver dans rimpossibilite d'utiliser sa cle publique. 
Lorsque le certificat de sa cle publique n'est plus valide, Tutilisateur doit 
10 demander une nouvelle certification et est contraint d'attendre la delivrance 
d'un certificat par Tautorite de certification avant de pouvoir a nouveau 
communiquer de maniere securisee dans le systeme. 

Lorsqu'un utilisateur soupgonne une prise de connaissance par un 
15 tiers de sa cle privee ou encore lorsqu'un utilisateur change de nom ou 
d'autorite de certification, l'utilisateur peut demander la revocation du 
certificat de sa paire de cles. 

L'autorite de certification revoque le certificat sur demande de 
20 Tutilisateur concerne et l'utilisateur peut alors soit demander un nouveau 
certificat soit une nouvelle paire de cles et un nouveau certificat associe. 

Comme pour la creation de cles, la certification et plus 
particulierement la communication avec Tautorite de certification est de plus 
25 en plus difficile a gerer pour un administrateur lorsque le nombre 
d'utilisateurs du systeme augmente. 

Un but de la presente invention est de simplifier la procedure de 
creation de paires de cles et de certification des cles publiques et de reduire 
30 le delai d'obtention d'une paire de cles et/ou d'un certificat. 
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Un autre but de Tinvention est de simplifier la certification dans un 
systeme communiquant avec une autorite de certification dans un mode 
asynchrone. 

5 Un autre but de Tinvention est de connaTtre le degre d^avancement de 

la procedure de creation d'une paire de cles ainsi que celle de certification. 

Un autre but de I'invention est de faciliter le renouvellement des 
certificats expires ainsi que des paires de cles dont le certificat a ete 
10 revoque. 

Resume de rinvention 

Dans ce contexte, la presente invention propose un precede de 
15 creation et de gestion de paires de cles cryptographiques asymetriques et 
certificats associes, chaque paire de cles etant destinee a un sujet gere par 
un systeme informatique. caracterise en ce qu'il consiste a : 

• rechercher dans des moyens de memorisation au moins un sujet pour 
lequel une paire de cles asymetriques et un certificat associe doivent etre 

20 crees ; 

• creer au moins une requete unitaire de creation et de certification d'une 
paire de cles asymetriques pour ledit sujet ; 

• transmettre ladite requete unitaire de creation et de certification a un 
centre de generation de cles qui delivre une paire de cles asymetriques 

25 conformement a ladite demande ; 

• creer au moins une requete unitaire de certification de la cle publique 
creee pour ledit sujet ; 

• transmettre ladite requete unitaire de certification a une autorite de 
certification qui delivre un certificat conformement a ladite demande. 

30 
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La presente invention propose egalement un procede de creation et 
de gestion de certificats de cles publiques, chaque certificat etant destine a 
une cle publique d'un sujet gere par un systeme informatique, caracterise en 
ce qu'il consiste a : 

5 • rechercher dans des moyens de memorisation au moins une paire de cles 
asymetriques pour la de publique de laquelle un certificat doit etre cree ; 

• creer au moins une requete unitaire de certification de la cle publique ; 

• transmettre ladite requete unitaire de certification a une autorite de 
certification qui delivre un certificat conformement a ladite demande. 

10 

La presente invention se rapporte egalement a un procede de 
creation et de gestion de cles cryptographiques symetriques, chaque cle 
etant destinee a un sujet gere par un systeme informatique, caracterise en 
ce quMI consiste a : 

15 • rechercher dans des moyens de memorisation au moins un sujet pour 
lequel une cle symetrique doit etre creee ; 

• creer au moins une requete unitaire de creation d'une cle symetrique pour 
ledit sujet ; 

• transmettre une demande correspondant a ladite requete unitaire de 
20 creation a un centre de generation de cles qui delivre une cle symetrique 

conformement a ladite demande. 

La presente invention porte egalement sur un systeme informatique 
permettant de creer et gerer des paires de cles cryptographiques 
25 asymetriques et/ou des certificats associes aux paires de cles, les paires de 
cles et les certificats etant destines a un sujet gere par ledit systeme, 
caracterise en ce quMI comprend des moyens permettant d'automatiser la 
creation et/ou la certification d'au moins une paire de cles pour chaque sujet 
gere par le systeme. 

30 
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La presente invention propose egalement un systeme informatique 
permettant de creer et gerer des cles cryptographiques symetriques. les cles 
etant destines a un sujet gere par ledit systeme, caracterise en ce qu'il 
comprend des moyens permettant d'automatiser la creation d'au moins une 
5 cle pour chaque sujet gere par le systeme. 

Presentation des figures 

D'autres caracteristiques et avantages de Tinvention apparaitront a la 
10 lumiere de la description qui suit, donnee a titre d'exemple illustratif et non 
limitatif de la presente invention, en reference aux dessins annexes dans 
lesquels: 

•la figure 1 est un schema simpiifie global du systeme informatique 
15 selon la presente invention ; 

•la figure 2 represente une unite organisationnelle sous la forme d'un 

arbre ; 

•la figure 3 represente un schema d'etapes du precede selon une 
forme de realisation de la presente invention applique a une partie de Tunite 
20 organisationnelle representee sur la figure 2. 

Description d*une forme de realisation de rinvention 

La forme de realisation de invention decrite ci-apres se rapporte a la 
25 creation et a la gestion de paires de cles cryptographiques asymetriques et 
des certificats associes. Le principe de invention est egalement applicable 
a la creation et a la gestion de cles cryptographiques symetriques. 



Les principes de la cryptographie a cles publique/privee sont ci-apres 
30 brievement rappeles. 
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Chaque utilisateur possede un couple de cles asymetriques, une cle 
publique et une cle privee. 

La cle privee est personnelle, connue et conservee secrete par le 
5 seul detenteur legitime de cette cle qui Tutilise pour dechiffrer des messages 
regus ou pour signer des messages. La cle publique est rendue publique : 
elle est connue de tous et utilisee pour chiffrer des documents ou pour 
verifier des signatures. Pour signer un document, un utilisateur utilise sa cle 
privee : la cle privee etant secrete, ledit utilisateur peut seul signer un 
10 document a Taide de ladite cle. Quiconque peut verifier la signature dudit 
utilisateur a Taide de la cle publique dudit utilisateur. Pour chiffrer un 
document, quiconque peut utiiiser la cle publique d'un utilisateur. Ledit 
utilisateur dechiffre le document a Taide de sa cle privee qu'il est le seul a 
connaTtre. 

15 

II est necessaire de prevoir un systeme qui permette de verifier 
qu'une cle publique donnee soit effectivement associee au detenteur 
legitime et que c'est bien lui qui I'utilise. 

20 Ce probleme a donne naissance aux certificats. Un certificat est un 

document numerique attestant de la propriete d'une cle publique par une 
personne. Un tel certificat doit etre emis par une institution reconnue, 
appelee autorite de certification (CA), Le certificat permet au titulaire de 
prouver a tous que la cle publique associee a ce certificat lui appartient et 

25 qu'il pourra dechiffrer les messages que toute personne lui enverra en 
utilisant cette cle publique. Lorsqu'une personne signe et emet un 
document, le destinataire obtient le certificat de la personne emettrice. Le 
destinataire peut verifier la veracite du certificat avec le certificat de Tautorite 
de certification ; il peut ensuite controler la signature de I'emetteur. 

30 



Un certificat comprend en general les elements suivants 
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■ la cle publique ; 

■ le nom du proprietaire ; 

■ la date d'expiration du certificat ; 

■ le nom de Tautorite de certification ; 
5 ■ le numero de serie du certificat ; 

■ la signature de Tautorite de certification. 

Comme represents sur la figure 1 , le systeme informatique 1 selon la 
presente invention comporte un serveur 2 ou une station de travail ou tout 
10 autre moyen equivalent de type connu. Le serveur 2 comprend au moins : 

• un service central d'administration 3, lUM (Integrated User 
Management), Le service central d'administration 3 comporte une 
interface homme/machine 4 ; 

• une autorite locale d'enregistrement 5 (LRA, Local Registration 
15 Authority) comprenant un mecanisme 6 de reveil periodique 

destine a activer periodiquement Tautorite locale d'enregistrement 
5; 

• une base de securite centrale 7 de reference (SIB, Security 
Information Base) ; 

20 • un centre de generation de cles 8 comprenant un serveur de cles 9 

et un generateur de cles 10. Le generateur de cles 10 comporte 
des moyens de stockage 1 1 consistant en un espace memoire ou 
un disque dur ou tout autre moyen de memorisation equivalent de 
type connu. 

25 

Le systeme informatique 1 dispose egalement d'au moins une 
autorite de certification (CA) 12, 

Selon une autre forme de realisation de invention, le serveur ne 
30 contient pas le centre de generation de cles 8. Le systeme informatique 1 
dispose d'un centre de generation de cles 8 exterieur au serveur 2. II est par 





9 



exemple possible que I'autorite de certification 12 dispose d'un centre de 
generation de cles 8 utilise par le systeme 1 pour la creation de ses cles. 

Le service central d'administration 3 est un processus lance sur la 
5 demande d'un administrateur ou utilisateur. 

Uautorite locale d'enregistrement 5, le mecanisme 6 de reveil 
periodique, le serveur de cles 9 et le generateur de cles 10 sont des demons 
travaillant en tache de fond. 

10 

Au sens de la presente description, un demon est un processus qui 
est cree au lancement du systeme ou a des dates fixees par I'administrateur 
du systeme et qui ne sont interrompus qu'a Tarret du systeme. Un processus 
est un programme en cours d'execution a un instant donne, le programme 

15 constituant en lui-meme un objet inerte range dans un espace memoire 
reserve ou equivalent. II correspond a un partage logique du travail dans le 
systeme d'exploitation du serveur 2. L'activite sur un systeme est generee 
par les processus. Des espaces memoires ou tout autre moyen de 
memorisation de type connu sont reserves pour la memorisation des 

20 programmes correspondant aux demons mentionnes ci-dessus. 

La base de securite centrale 7 est une base de donnees relationnelle, 
une base de donnees objet, un annuaire ou tout autre moyen de 
memorisation et classement de donnees. 

25 

L'autorite de certification 12 consiste dans la forme de realisation 
decrite en une station de travail distante, un serveur distant ou tout autre 
moyen equivalent susceptible de fonctionner en mode hors-ligne 
(deconnectee du serveur 2) ou en mode en-ligne (connectee au serveur 2). 
30 Les echanges entre le serveur 2 et I'autorite de certification 12 sont 
securises ; Tautorite locale d'enregistrement 5 et Tautorite de certification 12 
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possedent notamment chacune une paire de cles leur permettant de signer 
leurs echanges. 

Les echanges entre Tautorite locale d'enregistrement 5 et le centre de 
5 generation de cles 8 sont securises : ils appartiennent au meme serveur 2 et 
utilisent un protocole proprietaire specifique au serveur 2 pour dialogues 

Le systeme informatique 1 selon la presente invention manipule les 
objets suivants : 

10 • unite geographique / unite organisationnelle ; 

• utilisateur ; 

• application ; 

• autorite de certification ; 

• modele de paire de cles ; 
15 • modele de certificat ; 

• extension de certificat ; 

• requete multiple de creation et certification de paires de cles ; 

• paire de cles ; 

• requete multiple de certification de cles publiques ; 
20 • certificat. 

Selon une forme de realisation particuliere de Tinvention, le systeme 
manipule egalement Tobjet : 

• requete de revocation de certificat. 

25 

Les objets utilisateurs et applications sont egalement appeles sujets. 
Chaque objet ou sujet comporte des attributs le caracterisant. 

Les objets unite geographique, unite organisationnelle sont destines a 
30 decrire des utilisateurs ou des applications suivant des criteres 
geographiques ou organisationnels ; tout autre type de critere pour definir 
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un ensemble d'utilisateurs ou d'applications est susceptible d'etre utilise. La 
figure 2 represente un exemple d'unite organisationnelle sous la forme d'un 
arbre. Dans cet exemple, Tunite organisationnelle se rapporte a un service 
informatique d'une entreprise. Uobjet unite geographique, unite 
5 organisationnelle comprend comme attributs, les requetes multiples de 
creation et de certification de paires de cles et les requetes multiples de 
certification de cles publiques. 

Les sujets utilisateur et application represented respectivement une 
10 personne physique et une application, toutes deux utilisatrices de paires de 
cles. Sur la figure 2, Marie, Louis, Jacques... sont des sujets utilisateurs 
(personne physique). Les sujets utilisateur et application contiennent des 
attributs presentant les informations necessaires pour leur identification 
dans Tobjet certificat tels qu'un nom conforme a la norme RFC 822, des 
15 informations pour I'extension de certificats definies par Tadministrateur. Le 
sujet utilisateur et application a egalement pour attributs des paires de cles 
et des requetes multiples de creation et de certification, Un sujet peut 
disposer de plusieurs paires de cles, chaque paire de cles correspondant a 
une utilisation specifique differente, par exemple une paire de cles destinee 
20 au chiffrement et une paire de cles destinee a la signature. 

L'objet autorite de certification represente Tautorite de certification 12 
qui certifie des des publiques et emet des certificats avec des extensions et 
qui revoque egalement des certificats sur demande d'un utilisateur ou d'un 

25 administrateur. Le format de certificat reconnu de nos jours est defini par la 
recommandation X.509 V3 du CCITT. Les certificats peuvent etre lus ou 
ecrits par n'importe quel logiciel compatible X.509. Les attributs de l'objet 
autorite de certification sont le nom et I'adresse de I'autorite concernee, les 
modeles de certificat emis par I'autorite. les certificats emis par Tautorite, le 

30 certificat de Tautorite de certification en question. 
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Uobjet modele de paire de cles a pour attribut I'algorithme a utiliser 
avec la paire de cles, la longueur des cles, les requetes multiples de 
creation et de certification, et Tutilisation possible de la paire de cles, par 
exemple la signature de donnees, le chiffrement de cles ou la signature de 
5 certificats. II permet de definir une famille de paires de cles utilisees par des 
sujets d'une meme unite geographique, organisationneile ou autre et de 
construire ainsi une requete multiple pour une unite donnee comme il sera 
vu plus loin, 

10 L'objet modele de certificat a pour attribut Tautorite de certification, la 

duree de validite, les extensions, les requetes multiples de creation et de 
certification, les requetes multiples de certification. Un sujet peut disposer de 
plusieurs certificats issus d'autorites de certification differentes pour une 
meme paire de cles. L'objet modele de certificat permet de definir une famille 

15 de certificats utilises par des sujets d'une meme unite geographique. 
organisationneile ou autre et de construire ainsi une requete multiple pour 
une unite donnee comme il sera vu plus loin. 

L'objet extension definit des donnees supplementaires introduites 
20 dans le certificat. Uobjet extension comprend comme attributs un identifiant, 
un drapeau indiquant si {'extension est critique ou non, des attributs d'objets 
qui contiendront les donnees a introduire dans I'extension, une regie 
d'encodage permettant d'encoder les donnees introduites dans le certificat. 
Les attributs d'objets qui contiendront les donnees a introduire dans 
25 I'extension peuvent etre choisis parmi les attributs des sujets. modele de 
certification, autorite de certification, requete multiple de certification ou 
extension, Uobjet extension comprend comme egalement comme attribut les 
modeles de certificat. 
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Ainsi, par exemple, Textension d'un certificat peut contenir un 
identifiant particulier. un drapeau non critique, Tage d'un utilisateur et une 
regie d'encodage. 

5 L'objet requete multiple de creation et de certification de cles 

publiques comporte un attribut definissant un ensemble de sujets utilisateurs 
de cles. Les sujets de Tensemble sont soit nommes explicitement, soit 
recherches a partir de criteres prefixes tels que des criteres geographiques 
ou organisationnels. Ainsi, par exemple, Tensemble dans la requete multiple 

10 relative au service informatique dans la figure 2 est defini sous la forme d'un 
arbre. II est egalement possible de concevoir une requete multiple par 
niveau et de nommer explicitement tous les utilisateurs pour le niveau en 
question. Par exemple, Tensemble d'une requete multiple pour la sous-unite 
clavier comprend les utilisateurs nommes explicitement Herve et Lucie ou 

15 determines selon des criteres organisationnels, a savoir tous les sujets 
appartenant a la sous-unite clavier. L'objet requete multiple de creation et de 
certification de paire de cles a egalement pour attributs le modele de paire 
de cle et le modele de certificat a utiliser, des informations permettant de 
savoir dans quelles conditions il est necessaire de creer des cles (absence 

20 de cles pour un utilisateur et de requete unitaire de creation et de 
certification correspondante, creation demandee par un administrateur, 
revocation d'un certificat et creation demandee suite a cette revocation). De 
meme, il comprend un attribut de planification. L'attribut de planification 
indique d'une part, la date a partir de laquelle doit etre executee la requete 

25 multiple concernee et d'autre part, si la requete doit etre executee une seule 
fois. Si Tattribut de planification revele que la requete de certification ne doit 
pas etre executee une seule fois, la requete est executee a chaque appel 
par le systeme et plus precisement par le mecanisme de reveil periodique 6 
jusqu'a Tarret du systeme. L'objet requete multiple comporte egalement un 

30 attribut relatif a I'etat d'avancement de la creation. L'attribut relatif a I'etat 
d'avancement de la creation presente des valeurs telles que « en attente », 
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« en COUPS de traitement », « emission d'une demande de creation », 
« termine », « traitement termine avec un message d'erreur ». 

L'objet requete unitaire de creation et de certification de paire de cles 
5 correspond a Tobjet requete multiple dans lequel un unique sujet est 
identifie. 

Uobjet paire de cles contient comme attributs le proprietaire de la 
paire de cles, les valeurs des cles publique et privee, Talgorithme a utiliser 
10 avec les paires de cles, la longueur des cles, le type d'utilisation des cles, la 
date de creation des cles, les certificats associes, les requetes multiples de 
certification. Plusieurs certificats emis par des autorites de certification 
differentes peuvent etre associes a une meme paire de cles. 

15 L'objet requete multiple de certification de cles publiques a pour 

attribut un ensemble de cles publiques a certifier appartenant a des sujets 
nommes explicitement ou definis par des criteres geographiques, 
organisationnels ou autres. L'objet requete multiple de certification de cles 
publiques comporte egalement comme attributs le modele de certificat a 

20 utiliser, des informations permettant de savoir dans quelles conditions 11 est 
necessaire de certifier une cle comme par exemple I'absence de certificat et 
de requete unitaire de certification, la certification demandee par un 
administrateur, Texpiration du delai de validite du certificat, la revocation 
d'un certificat d'une paire de cles et certification demandee pour ladite paire 

25 de cles que Tutilisateur souhaite conserver suite a la revocation... La 
requete multiple est executee de preference avant que le certificat concerne 
n'arrive a expiration. Ainsi, il est prevu dans la forme de realisation decrite 
de certifier toutes les cles publiques dont le certificat arrive a expiration dans 
la periode deactivation de Tautorite locale d'enregistrement 5. La periode 

30 deactivation de I'autorite locale d'enregistrement par le mecanisme 6 de 
reveil periodique presente par exemple une duree double a celle requise en 
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moyenne par Tautorite de certification pour emettre un certificat. Si, par 
example, Tautorite de certification met en moyenne cinq jours pour certifier 
une de publique, la periode d'activation de Tautorite locale d'enregistrement 
est de dix jours : ainsi, si un certificat arrive a expiration sept jours apres 

5 Tactivation de Tautorite locale d'enregistrement par le mecanisme 6, ledit 
certificat arrive a expiration dans la periode d'activation de dix jours de 
Tautorite locale d'enregistrement : un nouveau certificat doit etre demande 
aupres de Tautorite de certification. Si I'autorite de certification met par 
exemple cinq jours pour emettre ce nouveau certificat, un nouveau certificat 

10 sera pret cinq jours apres I'activation de Tautorite locale d'enregistrement et 
deux jours avant {'expiration de Tancien certificat. L'utilisateur concerne aura 
done toujours a sa disposition un certificat : le renouvellement sera 
transparent pour lui. L'objet requete multiple de certification de cles 
publiques contient egalement un attribut reldtif a I'etat d'avancement de la 

15 certification. L'attribut relatif a Tetat d'avancement de la certification presente 
des valeurs, par exemple les valeurs « en attente », « en cours de 
traitement », « emission d'une demande de certification », « termine », 
« traitement termine avec un message d'erreur ». 

20 L'objet requete unitaire de certification de cles publiques correspond 

a l'objet requete multiple dans lequel une unique cle publique et done une 
unique paire de cles est identifiee, 

L'objet certificat a pour attributs le proprietaire du certificat. la paire de 
25 cles associee, I'autorite de certification emettrice, la vaieur du certificat et le 
delai de validite. 

S'il est prevu un objet requete de revocation de certificat, ledit objet 
comprend les attributs suivants : les certificats et/ou I'autorite de certification 
30 concernes, I'etat d'avancement, la cause de la revocation (soupgon d'un 
utilisateur sur la prise de connaissance de sa cle par un tiers, changement 
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d'identite du proprietaire). La requete de revocation indique egalement si 
une paire de cles doit etre creee suite a ladite revocation ou si la paire de 
cles dont le certificat a ete revoque doit etre conservee et certifier a 
nouveau. Le traitement de la revocation ne sera pas decrit ci-apres mais le 
5 principe a base de requete adaptee est le meme que pour la creation et la 
certification. 

Tous les objets et sujets ainsi que les liens entre eux sont stockes 
dans la base de securite centrale 7. Chaque objet et sujet dans la base de 
securite centrale 7 disposent d'une identification unique et sont accessibles 
pour radministrateur a partir de Tinterface homme/machine 4. 

L'autorite locale d'enregistrement 5 est representee dans la base de 
securite centrale 7 sous la forme d'un sujet de type application. L'autorite 
locale d'enregistrement 5 dispose d'une paire de cles enregistree dans la 
base 7 a Tinstallation du systeme selon I'invention. La paire de cles de 
I'autorite locale d'enregistrement 5 est utilisee pour securiser les echanges 
entre Tautorite locale d'enregistrement 5 et Tautorite de certification 12. 
Uautorite de certification 12 dispose egalement d'une paire de cles pour 
proteger ses echanges avec Tautorite locale d'enregistrement 5. 

Selon une forme de realisation particuliere de Tinvention, seule la cle 
publique est enregistree dans la base de securite centrale. L'objet paire de 
cles ne contient que la valeur de la cle publique. La cle privee peut etre par 
25 exemple integree a une carte a puce. 

Uadministrateur du systeme 1 saisit a Taide de Tinterface 
homme/machine 4 des informations propres a Tenvironnement dans lequel 
le systeme 1 est integre. L'administrateur definit les sujets concernes par 
30 exemple selon des criteres geographiques ou organisationnels ou autres. II 
declare les modeles de certificats, les modeles de paires de cles, les 
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autorites de certification, les extensions de certificat. II definit des requetes 
multiples de creation et de certification et des requetes multiples de 
certification pour des ensembles de sujets notamment tels que definis 
precedemment. Le service central d'administration 3 cree les objets ou 
5 sujets correspondant en definissant leurs attributs a partir des informations 
specifiques saisies. Les objets et sujets crees sent stockes dans la base de 
securite centrale 7. 

II est egalement possible d'importer par programme des objets ou 
10 sujets tels que par exemple le sujet utilisateur, ou I'objet paire de cle ou 
certificat et de les stocker dans la base de securite centrale 7 sous la forme 
telle que decrite precedemment. 

La base de securite centrale 7 est geree et mise a jour par le service 
15 central d'administration 3. 

L'administrateur peut a tout moment saisir a Taide de interface 
homme/machine 4 de nouveaux sujets, de nouvelles requetes de creation de 
paires de cles et/ou de nouvelles requetes de certification, ou tout autre 
20 objet qui est ensuite stocke dans la base de securite centrale 7. 

Le precede selon la presente invention consiste a : 

• rechercher dans la base de securite centrale 7 au moins un sujet pour 
lequel une paire de cles asymetriques et un certificat associe doivent etre 

25 crees ; 

• creer au moins une requete unitaire de creation et de certification d'une 
paire de cles asymetriques pour ledit sujet ; 

• transmettre une demande correspondant a ladite requete unitaire de 
creation et de certification au centre de generation de cles 8 qui delivre 

30 une paire de cles asymetriques conformement a ladite demande ; 
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• creer au moins une requete unitaire de certification de la cle publique 
creee pour ledit sujet ; 

• transmettre une demande correspondant a ladite requete unitaire de 
certification a Tautorite de certification 12 qui delivre un certificat 



La recherche dans la base de securite centrale 7 est effectuee 
periodiquement. Le mecanisme de reveil periodique 6 active periodiquement 
Tautorite locale d'enregistrement 5. La periode deactivation de Tautorite 
10 locale d'enregistrement 5 est susceptible d'etre modifiee par Tadministrateur. 

Selon une forme de realisation particuliere de invention, Tautorite 
locale d'enregistrement 5 activee par le mecanisme de reveil periodique 6 
recherche toutes les requetes multiples de creation et de certification de 

15 paires de cles stockees dans la base de securite centrale 7 dont Tattribut de 
planification correspond a une date d'execution atteinte ou depassee. 
L'autorite locale d'enregistrement 5 donne a Tattribut relatif a I'etat 
d'avancement des requetes multiples retrouvees la valeur « en attente ». 
Sur la figure 3, une requete multiple de creation et de certification de Tunite 

20 clavier a ete retrouvee. 

Pour chacune des requetes multiples de creation et de certification 
retrouvee, I'autorite locale d'enregistrement 5 recherche tous les sujets 
concernes par la requete en question pour lesquels une paire de cles doit 

25 etre creee et plus precisement pour lesquels une condition dans laquelle il 
est necessaire de creer au moins une paire de cles est remplie (absence de 
paire de cles et de requete unitaire de creation et de certification 
correspondante pour le sujet en question, revocation d'un certificat et 
creation demandee suite a cette revocation). La condition « creation 

30 demandee par un administrateur » n'est consideree que lorsqu'un 
administrateur demande la creation immediate d'une paire de cles au moyen 



5 



conformement a ladite demande. 
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de rinterface homme/machine comme il sera vu plus loin. Pour chaque sujet 
retrouve, I'autorite locale d'enregistrement 5 cree une requete unitaire de 
creation et certification de paire de cles a partir de la requete multiple 
concernee. L'autorite locale d'enregistrement 5 communique pour ce faire 

5 avec la base de securite centrale 7. Elle recupere dans la base de securite 
centrale 7 les informations dont elle a besoin pour construire chacune 
desdites requetes unitaires et notamment le modele de paire de cles et le 
modele de certificat determines dans la requete multiple de creation et de 
certification. Sur la figure 3, deux requetes unitaires sont crees pour chaque 

10 utilisateur de Tunite clavier depourvu de paire de cles, a savoir Herve et 
Lucie. Elle donne a I'attribut relatif a Tetat d'avancement de la requete 
unitaire en question la valeur « en cours de traitement ». 

Pour un sujet donne, plusieurs requetes unitaires de creation et 
15 certification de paire de cles sont susceptibles d'etre creees. Chaque 
requete unitaire correspond a une utilisation specifique de la paire de cles 
(la signature de donnees, le chiffrement de cles ou la signature de 
certificats...) et done a un modele particulier de paire de cles. Chaque 
requete unitaire peut egalement correspondre a une autorite de certification 
20 determinee et done a un modele particulier de certificat. 

Uadministrateur peut requerir a tout moment la creation et la 
certification d*une paire de cles pour un sujet donne a partir de {'interface 
homme/machine 4 : Tadministrateur donne toutes les informations 

25 necessaires a la creation d'une requete unitaire de creation et d'une requete 
unitaire de certification associee et notamment le modele de paire de cles et 
le modele de certificat ; l'autorite peut alors creer directement ladite requete 
unitaire de creation et la requete de certification correspondante pour le 
sujet donne. Les conditions « creation demandee par un administrateur » et 

30 « certification demandee par un administrateur » dans laquelle 11 est 
necessaire de creer au moins une paire de cles et un certificat sont 
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remplies. L'autorite locale d'enregistrement donne a l*attribut relatif au degre 
d'avancement de la requete unitaire en question la valeur « en cours de 
traitement ». Le procede opere ensuite de la fagon telle que decrite ci-apres 
pour la requete de creation et de certification unitaire issue d'une requete 
5 multiple. 

Pour chaque requete de creation et de certification unitaire creee. 
Tautorite locale d'enregistrement 5 emet une demande correspondante de 
paires de cles au centre de generation de cles 8 et plus particulierement au 
10 serveur de cles 9. Le contenu de la demande de creation correspond a celui 
de la requete de creation et de certification unitaire ; seule sa structure est 
modifiee de maniere a etre adaptee aux moyens de communication utilises 
entre Tautorite locale d'enregistrement 5 et l'autorite de certification 12. 

15 La demande transmise, l'autorite locale d'enregistrement 5 donne a 

I'attribut de la requete de creation et de certification unitaire relatif a I'etat 
d'avancement de la creation la valeur « emission d'une demande ». 

Le generateur de cles 10 fabrique de maniere continue des paires de 
20 cles selon des algorithmes et des tailles de cles determines et les stocke 
dans les moyens de stockage 1 1 du generateur 

Le serveur de cles 9, des reception de la demande de Tautorite locale 
d'enregistrement 5, retire des moyens de stockage 1 1 du generateur de cles 
25 10 une cle du type de celle definie dans la demande emise par j'autorite 
locale d'enregistrement 5. Le serveur de cles 9 transfere la paire de cles 
retiree vers Tautorite locale d'enregistrement 5. 

Dans I'hypothese ou le generateur 10 ne parvient pas a creer une cle, 
30 ii transmet un message d'erreur a Tautorite locale d'enregistrement 5. 
L'autorite locale d'enregistrement 5 modifie la valeur de Tattribut de la 
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requete unitaire concernee relatif a Tetat d'avancement de la creation pour 
lui donner la valeur « traitement termine avec un message d'erreurs ». 

Sur reception de la paire de cles delivree par le serveur de cles 9, 
5 I'autorite locale d'enregistrement 5 cree un objet « paire de cles » 
correspondant dans la base de securite centrale 7. Uautorite locale 
d'enregistrement 5 y stocke la paire de cles creee. Sur la figure 3, deux 
paires de cles sont stockees dans la base de securite locale 7. Tune pour 
Herve et Tautre pour Lucie. L'autorite locale d'enregistrement 5 modifie la 
10 valeur de Tattribut relatif a Tetat d'avancement de la creation de la requete 
unitaire concernee pour lui donner la valeur « traitement termine ». 

L'autorite locale d'enregistrement 5 detruit la requete de creation 
unitaire associee au sujet en question et cree une requete unitaire de 
15 certification de la cle publique creee correspondante. 

Uautorite locale d'enregistrement 5 recupere dans la base de securite 
centrale 7 les informations dont elle a besoin pour construire chacune 
desdites requetes unitaires de certification et notamment le modele de 

20 certificat determine dans la requete multiple de creation et de certification. 
Le modele de certificat contient notamment i'autorite de certification et les 
extensions. A partir des extensions, I'autorite locale d'enregistrement 5 
obtient les regies d'encodage permettant d'encoder les donnees a introduire 
dans le certificat. Elle applique ladite regie afin d'encoder chaque extension 

25 dans le certificat contenu dans la requete unitaire de certification en 
question. La condition « absence de certificat » dans laquelle il est 
necessaire de creer au moins une paire de cles est remplie. L'autorite locale 
d'enregistrement 5 modifie la valeur de I'attribut de la requete unitaire 
concernee relatif a I'etat d'avancement de la certification pour lui donner la 

30 valeur « en cours de traitement ». Dans I'exemple represents sur la figure 3, 
deux requetes unitaires de certification sont creees pour les deux cles 
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publiques des paires de cles creees respectivement pour Herve et Lucie. 
Pour un sujet donne, plusieurs requetes unitaires de certification de paire de 
cles sont susceptibles d'etre creees, chaque requete correspondant a une 
autorite de certification determinee et done a un modele de certification 
5 particulier. 

Les requetes unitaires creees pour chaque sujet, Tautorite locale 
d'enregistrement 5 supprime dans la base de securite centrale 7 Tobjet 
« requete multiple de creation et de certification de paires de cles » 
10 concerne lorsque I'attribut de planification le requiert, c'est-a-dire lorsqu'il 
indique que la requete multiple concernee doit etre executee une seule fois. 

Uautorite locale d'enregistrement 5 emet une demande de 
certification par requete de certification unitaire creee vers Tautorite de 

15 certification 12 concernee. Le contenu de la demande de certification 
correspond a celui de la requete de certification unitaire ; seule sa structure 
est modifiee de maniere a etre adaptee aux moyens de communication 
utilises pour connecter Tautorite locale d'enregistrement 5 a Tautorite de 
certification 12. La demande de certification est signee par la cle privee de 

20 Tautorite locale d'enregistrement 5 de maniere a garantir Torigine de la 
demande. Le statut de chaque requete de certification est alors mis a jour ; 
Tautorite locale d'enregistrement 5 donne a Tattribut de la requete de 
certification unitaire relatif a Tetat d'avancement de la procedure la valeur 
« emission d'une demande ». L'autorite de certification 12 stocke la 

25 demande. L'autorite de certification 12 est susceptible de produire a tout 
moment un certificat signe de sa cle privee. Le mode de connexion entre 
l'autorite de certification 12 et l'autorite locale d'enregistrement 5 est 
synchrone ou asynchrone. Dans un mode asynchrone, l'autorite locale 
d'enregistrement 5 comporte des moyens de traitement des certificats au fur 

30 et a mesure de leur reception. Sur reception du certificat concerne, l'autorite 
locale d'enregistrement 5 modifie la valeur de I'attribut de la requete unitaire 
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concernee relatif a Tetat d'avancement de la certification pour lui donner la 
valeur « traitement termine ». L'autorite locale d'enregistrement 5 detruit la 
demande de certification unitaire concernee et cree un objet de type 
certificat dans la base de securite centrale 7. Dans Texemple de la figure 3, 
5 deux certificats sont stockes respectivement pour Herve et Lucie, 

Dans I'hypothese ou Tautorite de certification 12 ne parvient pas ou 
refuse de creer un certificat, il transmet un message d'erreur a l'autorite 
locale d'enregistrement 5. L'autorite locale d'enregistrement 5 modifie la 
10 valeur de Tattribut de la requete unitaire concernee relatif a I'etat 
d'avancement de la certification pour lui donner la valeur « traitement 
termine avec un message d'erreurs ». 

Les sujets enregistres dans la base de securite centrale 7 et qui sont 
15 depourvus de paires de cles, ou pour lesquels une paire de cles a ete 
demandee par Tadministrateur ou encore pour lesquels le certificat est 
revoque et qu'une nouvelle paire de cles est demandee suite a cette 
revocation, sont a Taide du precede et du systeme selon Tinvention munis 
automatiquement de paires de cles et certificats associes. 

20 

Le precede selon la presente invention consiste egalement a : 

• rechercher dans des moyens de memorisation 7 au moins une paire de 
cles asymetriques pour la cle publique de laquelle un certificat doit etre 
cree ; 

25 • creer au moins une requete unitaire de certification de la cle publique ; 

• transmettre une demande correspondant a ladite requete unitaire de 
certification a une autorite de certification 12 qui delivre un certificat 
conformement a ladite demande. 

30 La recherche dans la base de securite centrale 7 est effectuee 

periodiquement. Le mecanisme de reveil periodique 6 active periodiquement 
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Tautorite locale d'enregistrement 5. La periode d'activation de Tautorite 
locale d'enregistrement 5 est susceptible d'etre modifiee par Tadministrateur. 

Selon une forme de realisation particuliere de Tinvention, Tautorite 
5 locale d'enregistrement 5 activee par le mecanisme de reveil periodique 6 
recherche toutes les requetes multiples de certification de cles publiques 
stockees dans la base de securite centrale 7 dont Tattribut de planification 
correspond a une date d'execution atteinte ou depassee. L'autorite locale 
d'enregistrement 5 donne a I'attribut relatif a Tetat d'avancement de la 
10 requete multiple en question la valeur « en attente ». 

Pour chacune des requetes multiples de certification retrouvee, 
Tautorite locale d'enregistrement 5 recherche tous les sujets concernes par 
la requete en question pour lesquels une condition dans laquelle il est 

15 necessaire de certifier au moins une paire de cles est remplie (absence de 
certificat et de requete unitaire de certification correspondante, expiration du 
delai de validite du certificat dans la periode d'activation de Tautorite locale 
d'enregistrement 5, revocation du certificat). La condition « certification 
demandee par un administrateur » n'est consideree que lorsqu'un 

20 administrateur demande un nouveau certificat pour une paire de cles 
donnee au moyen de Tinterface homme/machine comme il sera vu plus loin. 
Pour chaque sujet retrouve, elle cree des requetes unitaires de certification 
de paires de cles a partir des requetes multiples de certification concernees. 
L'autorite locale d'enregistrement 5 communique pour ce faire avec la base 

25 de securite centrale 7. Elle recupere dans la base de securite centrale 7 les 
informations dont elle a besoin pour construire chacune desdites requetes 
unitaires et notamment le modele de certificat. La requete multiple indique le 
modele de certificat a utiliser suivant I'ensemble dans lequel se trouve la 
paire de cles concernee. Le modele de certificat contient notamment 

30 l'autorite de certification et les extensions. A partir des extensions, Tautorite 
locale d'enregistrement 5 obtient les regies d'encodage permettant 
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d'encoder les donnees a introduire dans le certificat. Elle applique lesdites 
regies afin d'encoder les extensions dans le certificat contenu dans la 
requete unitaire de certification en question. L'autorite locale 
d'enregistrement 5 donne a I'attribut relatif a Tetat d'avancement de la 
5 requete unitaire en question la valeur « en cours de traitement ». 

Pour un sujet donne, plusieurs requetes unitaires de certification de 
paire de cles sont susceptibles d'etre creees. Chaque requete unitaire 
correspond a une autorite de certification determinee et done a un modele 
10 particuiier de certificat. 

Uadministrateur peut requerir a tout moment une certification d'une 
paire de cles donnee pour un sujet donne a partir de interface 
homme/machine 4 : Tadministrateur donne toutes les informations 

15 necessaires a la creation d'une requete unitaire et notamment le modele de 
certificat ; Tautorite peut alors creer directement ladite requete unitaire de 
certification pour le sujet donne. La condition « certification demandee par 
un administrateur » dans laquelle il est necessaire de creer au moins un 
certificat est remplie. Elle donne a Tattribut relatif au degre d'avancement de 

20 la requete unitaire en question la valeur « en cours de traitement ». Le 
precede opere alors de la maniere telle que decrite ci-apres. 

Les requetes unitaires creees pour chaque sujet retrouve, Tautorite 
locale d'enregistrement 5 supprime dans la base de securite centrale 7 
25 I'objet « requetes multiples de certification de paires de cles » lorsque 
Tattribut de planification le requiert, c'est-a-dire lorsqu'il indique que la 
requete multiple concernee doit etre executee une seule fois. 

L'autorite locale d'enregistrement 5 emet une demande de 
30 certification par requete de certification unitaire creee vers l'autorite de 
certification 12 concernee, Le contenu de la demande de certification 



26 



correspond a celui de la requete de certification unitaire ; seule sa structure 
est modifiee de maniere a etre adaptee aux moyens de communication 
utilises pour connecter Tautorite locale d'enregistrement 5 a Tautorite de 
certification 12. La demande de certification est signee par la cle privee de 
5 Tautorite locale d'enregistrement 5 de maniere a garantir Torigine de la 
demande. Le statut de chaque requete de certification est alors mis a jour ; 
I'autorite locale d'enregistrement 5 donne a Tattribut de la requete de 
certification unitaire relatif a Tetat d'avancement de la procedure la valeur 
« emission d'une demande ». L'autorite de certification 12 stocke la 

10 demande. L'autorite de certification 12 est susceptible de produire a tout 
moment un certificat signe de sa cle privee. Le mode de connexion entre 
l'autorite de certification 12 et l'autorite locale d'enregistrement 5 est 
synchrone ou asynchrone, Dans un mode asynchrone, l'autorite locate 
d'enregistrement 5 comporte des moyens de traitement des certificats au fur 

15 et a mesure de leur reception. 

Dans I'hypothese ou l'autorite de certification 12 ne parvient pas ou 
refuse de creer un certificat, il transmet un message d'erreur a Tautorite 
locale d'enregistrement 5. L'autorite locale d'enregistrement 5 modifie la 
20 valeur de I'attribut de la requete unitaire concernee relatif a Tetat 
d'avancement de la certification pour lui donner la valeur « traitement 
termine avec un message d'erreurs ». 

Sur reception du certificat concerne, l'autorite locale d'enregistrement 
25 5 modifie la valeur de Tattribut de la requete unitaire concernee relatif a I'etat 
d'avancement de la certification pour lui donner la valeur « traitement 
termine ». L'autorite locale d'enregistrement 5 detruit la requete de 
certification unitaire correspondante et cree un objet de type certificat dans 
la base de securite centrale 7. 



30 
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Les sujets enregistres dans la base de securite centrale 7, munis de 
paires de cles et depourvus de certificats, ou pour lesquels un nouveau 
certificat a ete demande, ou pour lesquels leur certificat arrive a expiration 
dans le delai d'activation de I'autorite locale d'enregistrement 5, ou encore 
5 pour lesquels le certificat a ete revoque sont a I'aide du precede selon 
rinvention munis automatiquement respectivement de certificats, de 
nouveaux certificats ou de certificats renouveles. 

L'interface homme/machine 4 du service central d'administration 3 est 
10 pourvue d'une fonction de suivi. La fonction de suivi permet a 
I'administrateur de suivre les differentes etapes du precede selon Tinvention 
et d'intervenir en cas de blocage survenant lors de la creation ou de la 
certification d'une paire de cles. Lorsque Tadministrateur le souhaite, il 
appelle la fonction de suivi de Tinterface homme/machine 4 : la fonction de 
15 suivi recherche dans la base de securite centrale 7 toutes les requetes 
unitaires en cours d'execution et les communique a Tadministrateur. 
Uadministrateur peut surveiller a Taide de la fonction de suivi de Tinterface 
homme/machine Tattribut relatif a Tetat d'avancement de la creation d'une 
paire de cles ainsi que Tattribut relatif a Tetat d'avancement de la 
20 certification. Lorsque Tattribut prend la valeur « traitement termine avec un 
message d'erreurs », Tadministrateur peut supprimer la requete concernee 
ou la relancer. 

A tout moment. I'administrateur peut a Taide de Tinterface 
25 homme/machine 4 requerir la creation d'une paire de cles et/ou la 
certification d'une paire de cles pour un sujet donne. Dans ce cas, le 
mecanisme de reveil 6 active I'autorite locale d'enregistrement des la saisie 
de la demande de creation et/ou de creation et de certification par 
I'administrateur. 

30 
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D'autres formes de realisation du precede et du systeme selon la 
presente invention sont susceptibles d'etre congues. 

Ainsi, par exemple, I'autorite locale d'enregistrement 5 peut 
5 rechercher tous les sujets pour lesquels une paire de cles doit etre realisee 
puis rechercher les requetes multiples associees. 

Le precede selon la presente invention consiste done a : 

• rechercher dans des moyens de memorisation 7 au moins un sujet pour 
10 lequel une paire de cles asymetriques et un certificat associe doivent etre 

crees ; 

• creer au moins une requete unitaire de creation et de certification d'une 
paire de cles asymetriques pour ledit sujet ; 

• transmettre une demande correspondant a ladite requete unitaire de 
15 creation et de certification a un centre de generation de c\6s 8 qui delivre 

une paire de cles asymetriques conformement a ladite demande ; 

• creer au moins une requete unitaire de certification de la cle publique 
creee pour ledit sujet ; 

• transmettre une demande correspondant a ladite requete unitaire de 
20 certification a une autorite de certification 12 qui delivre un certificat 

conformement a ladite demande. 

Une paire de cles doit etre creee pour un sujet donne lorsque ledit 
sujet est depourvu de paire de cles et de requete unitaire de creation et de 
25 certification correspondante, ou lorsqu'une une paire de cles a ete requise 
pour ledit sujet, ou lorsque le certificat d'une paire de cles dudit sujet 
destinee a une utilisation identique a ete revoque et qu'une nouvelle paire 
de cles a ete demandee. 

30 Le precede s'effectue de maniere periodique. 
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II cree chaque requete unitaire a partir d'une requete multiple de 
creation et de certification correspondante enregistree dans les moyens de 
memorisation 7 relative a un ensemble de sujets appartenant a une liste 
prefixee ou a un ensemble de sujets defini par des criteres predetermines 
5 ainsi qu'a des modeles de paires de cles et modeles de certificat associes 
pour Tensemble en question. 

Le precede consiste a rechercher dans chacune des requetes 
multiples de creation et de certification du systeme, tous les sujets se 
10 trouvant dans une condition dans laquelle une paire de cles doit etre creee. 

Le precede selon la presente invention consiste egalement a : 

• rechercher dans des moyens de memorisation 7 au moins une paire de 
cles asymetriques pour lequel un certificat doit etre cree ; 

15 • creer au moins une requete unitaire de certification de la cle publique ; 

• transmettre une demande correspondant a ladite requete unitaire de 
certification a une autorite de certification 12 qui delivre un certificat 
conformement a ladite demande. 

20 Un certificat doit etre cree pour un sujet donne lorsque ledit sujet est 

depourvu de certificat et de requete unitaire de certification, ou lorsqu'un 
certificat a ete requis pour ledit sujet, ou lorsque le certificat d'une paire de 
cles dudit sujet arrive a expiration, ou lorsque le certificat d'une paire de cles 
a ete revoque, 

25 

Le precede s'effectue de maniere periodique. 

Un certificat doit etre cree pour un sujet donne lorsque le certificat 
arrive a expiration dans ladite periode. 

30 
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Le procede cree chaque requete unitaire a partir d'une requete 
multiple de certification correspondante enregistree dans les moyens de 
memorisation 7 relative a un ensemble de paires de cles de sujets 
appartenant a une liste prefixee ou a un ensemble de paires de cles de 
5 sujets defini par des criteres predetermines ainsi qu'a des modeles de 
certificat associes pour Tensemble en question. 

Le procede consiste a rechercher dans chacune des requetes 
multiples de certification du systeme, tous les sujets se trouvant dans une 
10 condition dans laquelle un certificat doit etre cree. 

Chaque requete multiple comprend un attribut relatif a au moins une 
date d'execution et le procede selon Tinvention consiste a ne retenir dans la 
recherche que les requetes multiples dont la date d'execution est atteinte. 

15 

Le procede selon Tinvention consiste a realiser Tencodage d'une ou 
plusieurs extensions selon une ou des regies determinees et a introduire 
{'extension ou les extensions encodees dans la requete unitaire de 
certification lors de la creation de celle-ci. 

20 

II consiste egalement a modifier la valeur d'un attribut contenu dans 
chacune des requetes unitaires pour en indiquer Tetat d'avancement. 

La presente invention concerne egalement le systeme informatique 1 
25 permettant de creer et gerer des objets et notamment des paires de cles 
cryptographiques asymetriques et des certificats associes aux paires de 
cles, les paires de cles et les certificats etant destines a des sujets geres par 
ledit systeme, caracterise en ce qu'il comprend des moyens permettant 
d'automatiser la creation et/ou la certification d'au moins une paire de cles 
30 pour chaque sujet gere par le systeme 1 . 
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Le systeme 1 comprend au moins : 

• un service central d'administration 3 apte a creer, mettre a jour et 
consulter las objets et les sujets geres par ledit systeme ; 

• une autorite locale d'enregistrement 5 apte a gerer la creation et/ou la 
5 certification de cles destines a un objet ; 

• une base de securite centrale 7 contenant les sujets et objets geres par le 
systeme avec laquelle Tautorite locale d'enregistrement communique ; 

• un centre de generation de cles 8 apte a creer au moins une paire de cles 
sur requete de Tautorite locale d'enregistrement 5 avec laquelle il 

10 communique ; 

le systeme 1 disposant d'au moins une autorite de certification 12 apte a 
creer un certificat sur requete de Tautorite locale d'enregistrement 5. 

II comprend un mecanisme de reveil periodique 6 de Tautorite locale 
15 d'enregistrement 5. 

La presente invention concerne egalement un precede de creation et 
de gestion de cles cryptographiques symetriques, chaque cle etant destinee 
a un sujet gere par un systeme informatique 1, caracterise en ce quMI 
20 consiste a : 

• rechercher dans des moyens de memorisation 7 au moins un sujet pour 
lequel une cle symetrique doit etre creee ; 

• creer au moins une requete unitaire de creation d'une cle symetrique pour 
ledit sujet ; 

25 • transmettre une demande correspondant a ladite requete unitaire de 
creation a un centre de generation de cles 8 qui delivre une cle 
symetrique conformement a ladite demande. 

Elle porte sur le systeme informatique 1 permettant de creer et gerer 
30 des objets et notamment des cles cryptographiques symetriques, les cles 
etant destines a des sujets geres par ledit systeme, caracterise en ce qu'il 
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comprend des moyens permettant d'automatiser la creation d'au moins une 
cle pour chaque sujet gere par le systeme 1 . 

De cette maniere, le procede et le systeme selon la presente 
5 invention permettent de creer et gerer automatiquement des des 
cryptographiques et leurs certificats associes dans le cas de cles 
asymetriques. lis permettent egalement d'eviter d'avoir a creer des requetes 
unitaires pour chaque utilisateur et de soulager ainsi le travail de 
Tadministrateur. Les requetes multiples simplifient la creation et la gestion 
10 des cles publiques/privees. 

La gestion de la certification des cles publiques est assuree malgre la 
communication en mode asynchrone de Tautorite de certification 12 avec le 
serveur 2. 

15 

Le delai d'expiration des certificats est surveille de maniere a assurer 
un renouvellement automatique des certificats. 

Les extensions sont traitees par le systeme 1 . 

20 

Le suivi des creations et certifications de paires de cles est possible a 
Taide du service central d'administration et plus particulierement de 
rinterface homme/machine. 



25 
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REVENDICATIONS 

1. Procede de creation et de gestion de paires de cles cryptographiques 
asymetriques et certificats associes, chaque paire de cles etant destinee a 

5 un sujet gere par un systeme informatique (1), caracterise en ce qu'il 
consiste a : 

• rechercher dans des moyens de memorisation (7) au moins un sujet pour 
lequel une paire de cles asymetriques et un certificat associe doivent etre 
crees ; 

10 • creer au moins une requete unitaire de creation et de certification d'une 
paire de cles asymetriques pour ledit sujet ; 

• transmettre une demande correspondant a ladite requete unitaire de 
creation et de certification a un centre de generation de cles (8) qui 
delivre une paire de cles asymetriques conformement a ladite demande ; 

15 • creer au moins une requete unitaire de certification de la de publique 
creee pour ledit sujet ; 

• transmettre une demande correspondant a ladite requete unitaire de 
certification a une autorite de certification (12) qui delivre un certificat 
conformement a ladite demande. 

20 

2. Procede selon la revendication 1 , caracterise en ce qu'une paire de cles 
doit etre creee pour un sujet donne lorsque ledit sujet est depourvu de paire 
de cles et de requete unitaire de creation et de certification correspondante, 
ou lorsqu'une paire de cles a ete requise pour ledit sujet ou lorsque le 

25 certificat d'une paire de cles dudit sujet destinee a une utilisation identique a 
ete revoque et qu'une nouvelle paire de cles a ete demandee. 

3. Procede selon Tune des revendications 1 ou 2, caracterise en ce qu'il 
s'effectue de maniere periodique. 

30 
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4. Procede selon Tune des revendications 1 a 3, caracterise en ce qu'il cree 
chaque requete unitaire a partir d'une requete multiple de creation et de 
certification correspondante enregistree dans les moyens de memorisation 
(7) relative a un ensemble de sujets appartenant a une liste prefixee ou a un 
ensemble de sujets defini par des criteres predetermines ainsi qu'a des 
modeles de paires de cles et modeles de certificat associes pour Tensemble 
en question. 

5. Procede selon la revendication 4, caracterise en ce qu'il consiste a 
rechercher dans chacune des requetes multiples de creation et de 
certification du systeme, tous les sujets se trouvant dans une condition dans 
laquelle une paire de cles doit etre creee. 

6. Procede de creation et de gestion de certificats de paires de cles 
cryptographiques asymetriques, chaque certificat etant destine a une paire 
de cles cryptographiques asymetriques d'un sujet gere par un systeme 
informatique (1). caracterise en ce qu'il consiste a : 

• rechercher dans des moyens de memorisation (7) au moins une paire de 
cles asymetriques pour la de publique de laquelle un certificat doit etre 
cree ; 

• creer au moins une requete unitaire de certification de la cle publique ; 

• transmettre une demande correspondant a ladite requete unitaire de 
certification a une autorite de certification (12) qui delivre un certificat 
conformement a ladite demande. 

7. Procede selon la revendication 6. caracterise en ce qu'un certificat doit 
etre cree pour un sujet donne lorsque ledit sujet est depourvu de certificat et 
de requete unitaire de certification, ou lorsqu'un certificat a ete requis pour 
ledit sujet, ou lorsque le certificat d'une paire de cles dudit sujet arrive a 
expiration, ou lorsque le certificat d'une paire de cles a ete revoque. 
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8. Procede selon Tune des revendications 6 ou 7, caracterise en ce qu'il 
s'effectue de maniere periodique. 

9. Procede selon les revendications 7 et 8, caracterise en ce que qu'un 
5 certificat doit etre cree pour un sujet donne lorsque le certificat arrive a 

expiration dans ladite periode. 

10. Procede selon Tune des revendications 6 a 9, caracterise en ce qu'il 
cree chaque requete unitaire a partir d'une requete multiple de certification 

10 correspondante enregistree dans les moyens de memorisation (7) relative a 
un ensemble de paires de cles de sujets appartenant a une liste prefixee ou 
a un ensemble de paires de cles de sujets defini par des criteres 
predetermines ainsi qu'a des modeles de certificat associes pour Tensemble 
en question. 

15 

11. Procede selon la revendication 10. caracterise en ce qu'il consiste a 
rechercher dans chacune des requetes multiples de certification du systeme. 
tousJes sujets se trouvant dans une condition dans laquelle un certificat doit 
etre cree. 

20 

12. Procede selon Tune des revendications 1 ou 6, caracterise en ce que 
chaque requete multiple comprend un attribut relatif a au moins une date 
d'execution et en ce que ledit procede consiste a ne retenir dans la 
recherche que les requetes multiples dont la date d'execution est atteinte. 

25 

13. Procede selon Tune des revendications 1 ou 6, caracterise en ce qu'il 
consiste a realiser Tencodage d'une ou plusieurs extensions selon une ou 
des regies determinees et a introduire Textension ou les extensions 
encodees dans la requete unitaire de certification lors de la creation de 

30 celle-ci. 
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14. Procede selon Tune des revendications 1 ou 6. caracterise en ce qu'il 
consiste a modifier la valeur d'un attribut contenu dans chacune des 
requetes unitaires pour en indiquer Tetat d'avancement. 

5 15 Systeme informatique (1) permettant de creer et gerer des objets et 
notamment des paires de cles cryptographiques asymetriques et des 
certificats associes aux paires de cles, les paires de cles et les certificats 
etant destines a des sujets geres par ledit systeme, caracterise en ce qu'il 
comprend des moyens permettant d'automatiser la creation et/ou la 

10 certification d'au moins une paire de cles pour chaque sujet gere par le 
systeme (1), 

16 Systeme informatique (1) selon la revendication 15, caracterise en ce 
qu'il comprend au moins : 
15 • un service central d'administration (3) apte a creer, mettre a jour et 
consulter les objets et les sujets geres par ledit systeme ; 

• une autorite locale d'enregistrement (5) apte a gerer la creation et/ou la 
certification de cles destines a un objet ; 

• une base de securite centrale (7) contenant les sujets et objets geres par 
20 le systeme avec laquelle Tautorite locale d'enregistrement communique ; 

• un centre de generation de cles (8) apte a creer au moins une paire de 
cles sur requete de Tautorite locale d'enregistrement (5) avec laquelle il 
communique ; 

le systeme (1) disposant d'au moins une autorite de certification (12) apte a 
25 creer un certificat sur requete de I'autorite locale d'enregistrement (5). 

17. Systeme informatique selon Tune des revendications 15 ou 16, 
caracterise en ce qu'il comprend un mecanisme de reveil periodique (6) 
de Tautorite locale d'enregistrement (5). 
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18. Precede de creation et de gestion de cles cryptographiques 
symetriques, chaque cle etant destinee a un sujet gere par un systeme 
informatique (1), caracterise en ce quMI consiste a : 

• rechercher dans des moyens de memorisation (7) au moins un sujet pour 
lequel une cle symetrique doit etre creee ; 

• creer au moins une requete unitaire de creation d'une cle symetrique pour 
ledit sujet ; 

• transmettre une demande correspondant a ladite requete unitaire de 
creation a un centre de generation de cles (8) qui delivre une cle 
symetrique conformement a ladite demande. 

19. Systeme informatique (1) permettant de creer et gerer des objets et 
notamment des cles cryptographiques symetriques, les cles etant destines a 
des sujets geres par ledit systeme, caracterise en ce qu'il comprend des 
moyens permettant d'automatiser la creation d'au moins une cle pour 
chaque sujet gere par le systeme (1 ). 
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ABREGE DESCRIPTIF 



La presente invention concerne un precede de creation et de gestion de 
5 paires de cles cryptographiques asymetriques et/ou de certificats associes 
aux paires de cles. chaque paire de cles et certificat associe etant destines 
a un objet gere par un systeme informatique (1). Le precede consiste a creer 
une requete unitaire de creation et/ou de certification d'au moins une paire 
de cles pour un objet du systeme qui est depourvu de paire de cles ou de 
10 certificat pour sa paire de cles. 

La presente invention concerne egalement le systeme informatique de mise 
en oeuvre dudit precede. 
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Figure de I'abrege : Figure 1 
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